世界的な航空輸送データ企業であるSITA(Société International de Télécommunications Aéronautiques)は、乗客データを含むデータ漏洩が起こったことを認めた。
同社は中央ヨーロッパ時間3月4日、短い声明でSITAが「サイバー攻撃の犠牲者」となり、米国にある同社のサーバーに保存されていた一部の乗客データが流出したと発表した。2月24日にサイバー攻撃が確認された後、同社は影響を受けた航空会社に速やかに連絡したという。
SITAは世界最大級の航空IT企業で、世界の航空会社の約90%にサービスを提供していると言われており、それらの航空会社は同社の旅客サービスシステム「Horizon」を利用して予約、発券、航空機の出発を管理している。
しかし、どのようなデータがアクセスされたりもしくは盗まれたのか、正確には明らかにされていない。
TechCrunchの取材に対し、SITAの広報担当者であるEdna Aime-Yahil(エドナ・エイメ・ヤヒル)氏は、調査が現在進行中であることを理由に、具体的にどのようなデータが流出したかについての発言を控えた。同社は、このインシデントは「米国だけでなく、世界中のさまざまな航空会社に影響を与える」と述べている。
SITAはマレーシア航空、フィンエアー、シンガポール航空、および韓国のチェジュ航空など、すでにデータ漏洩についての声明を出しているいくつかの航空会社に通知したことを確認したが、影響を受けた他の航空会社の名前を挙げることは辞退した。
TechCrunchが入手した、シンガポール航空が影響を受けた顧客に向け送ったメールでは、同社はSITAの運営するHorizon旅客サービスシステムの顧客ではないが、約50万人のマイレージサービス会員に関して、会員番号とステータス情報が不正アクセスを受けたと述べている。同エアラインは、この種のデータの伝達は「会員のティアステータスの確認を可能にし、旅行中にメンバー航空会社の顧客に関連する特典を提供するために必要である」としている。
シンガポール航空は乗客の旅程、予約、発券およびパスポートデータは影響を受けなかったと述べた。
SITAはSabre(セーバー)やAmadeus(アマデウス)と並び、航空市場で乗客の発券および予約システムを航空会社に提供するひと握りの会社の1つだ。
Sabreは2017年半ばに、ハッカーが100万枚以上の顧客クレジットカードをスクレイピングした後、同社のホテル予約システムに影響を与える大規模なデータ流出を報告した。米国を拠点とする同社は漏洩を受けて2020年12月に240万ドル(約2億6000万円)の和解金と、サイバーセキュリティポリシーを変更することに合意した。
2019年には、エールフランスやブリティッシュ・エアウェイズ、カンタスなどが利用しているAmadeusの旅客予約システムに脆弱性があることがセキュリティ研究者によって発見され、旅行者の記録に簡単にアクセスしたり、改ざんすることが可能になっていたと判明した。
関連記事:データ漏洩通知は行間を読め、本当の意味を解読する方法
カテゴリー:セキュリティ
タグ:SITA、データ漏洩
画像クレジット:Matthew Lloyd / Bloomberg / Getty Images
[原文へ]
(文:Zack Whittaker、翻訳:Aya Nakazato)
